处理信息安全事件以检测网络攻击的系统和方法技术方案

本发明专利技术涉及处理信息安全事件以检测网络攻击的系统和方法。用于处理计算机系统的信息安全事件的方法包括：接收与在所述计算机系统中发生的多个信息安全事件有关的信息，每个事件包括与所述计算机系统的信息安全的可能违反有关的事件；确定针对每个事件的判决，所述判决包括：i)信息安全事故或ii)误报；如果相应事件的误报概率大于第一阈值，则所述判决为误报；将针对事件的子集的判决从所述误报更改为所述信息安全事故，所述子集中的事件的数量低于第二阈值；对判决为信息安全事故的信息安全事件进行分析，以确定所述计算机系统是否受到网络攻击。网络攻击。网络攻击。

【技术实现步骤摘要】
处理信息安全事件以检测网络攻击的系统和方法


[0001]本专利技术涉及信息安全领域，并且更具体地，涉及处理信息安全事件以检测网络攻击的方法。

技术介绍

[0002]当前，除了传统的恶意软件(例如病毒、因特网蠕虫、键盘记录器、加密器等)，计算机攻击(也称为网络攻击)也已经变得普遍。例如，此类攻击可能包括针对信息系统的定向攻击(也称为目标攻击(targeted attack)或TA)和复杂攻击(高级持续性威胁(advanced persistent threat)或APT)。信息系统包括计算设备和用于将它们链接在一起的通信的总体。信息系统也称为公司基础设施。网络罪犯可能有各种各样的目的，从简单地盗窃个人数据到工业间谍活动。网络罪犯通常具有关于公司网络的架构、内部文档流的原则、用于保护网络和计算机设备的手段的信息，或信息系统特有的且通常被隐藏的任何其它信息。有了这些信息，网络罪犯就可以绕过现有的防御手段，而这些防御手段通常在其设置方面没有灵活性而无法满足信息系统的所有需求。
[0003]用于防御恶意软件和计算机威胁的现有技术(例如签名分析、启发式分析、仿真等)具有许多缺陷。这些缺陷通常会阻止此类防御技术提供适当级别的针对定向攻击和其它计算机攻击的保护。例如，常规的恶意软件防御平台无法检测和调查先前未知的威胁、计算机攻击，诸如复杂攻击(使用技术来绕过防御平台)以及长时间(从几天到几年)攻击，这些攻击的指标在攻击开始很长时间后才变得已知。
[0004]因此，除了常规的防病毒解决方案以及入侵检测和预防系统之外，通常使用更高级的系统来保护公司网络免受上述威胁。这种更高级的系统包括但不限于，具有集成的威胁数据流的安全信息和事件管理(SIEM)系统、用于检测复杂威胁和定向攻击的反APT系统、以及用于基于妥协指标查找关于恶意软件的特征的信息的系统。除自动系统外，信息安全(InfoSec)专家的分析也可以用作防御机制。自动系统通常通过将InfoSec事件与关于已知威胁的数据相关联来检测InfoSec事故。在大多数情况下，检测到的InfoSec事故可能需要InfoSec专家进行分析，以最小化危害、收集关于事故的数据以及应采取的未来缓解措施。然而，现有系统中的大量InfoSec事故通常都是误报(false positive)。因此，InfoSec专家经常在分析错误事故上浪费大量时间，这增加了忽略真正InfoSec事故的可能性。而且，聘请大量合格的InfoSec专家的费用正在不断增加。
[0005]因此，需要解决常规网络攻击防御平台在将信息安全事件处理成事故和误报时的缺点。

技术实现思路

[0006]作为本专利技术的一个变型实施方式，提出了一种用于处理计算机系统的信息安全事件的方法，其中，该方法包括以下步骤：接收与在计算机系统中发生的多个信息安全事件有关的信息。多个信息安全事件中的每一者包括与计算机系统的信息安全的可能违反有关的
事件。确定针对接收到的多个信息安全事件中的每一者的判决。判决包括以下项之一：i)信息安全事故或ii)误报。如果针对相应信息安全事件的误报概率大于第一阈值，则判决为误报。针对多个信息安全事件的子集的判决从误报变化到信息安全事故。子集中的信息安全事件的数量低于第二阈值。对具有信息安全事故的判决的信息安全事件进行分析，以确定计算机系统是否受到网络攻击。
[0007]在一方面，接收与多个信息安全事件有关的信息还包括：接收与计算机系统的对象有关的一个或多个事件安全通知。所述一个或多个事件安全通知包括表征计算机系统中发生的事件的标记和指示收集关于事件的相应信息所用的时间间隔的时间戳。
[0008]在一方面，经训练的机器学习模型基于以下项中的至少一者来确定判决：一个或多个事件安全通知的特征、所述一个或多个事件安全通知的一个或多个来源、所述一个或多个事件安全通知的所述一个或多个来源的特征。
[0009]在一方面，对信息安全事件进行分析还包括对具有最低误报概率的信息安全事件进行分析。
[0010]在一方面，判决包括以下项之一：模糊判决、暂定判决、最终判决。
[0011]在一方面，表征计算机系统中发生的事件的标记包括以下项中的至少一者：对象的至少一部分的校验和、嵌入在计算机系统上的对象的资源的来源、对象的执行的仿真结果、从对象调用系统函数的日志、对象在计算机系统上的出现时间、对象通过计算机网络正在传输的数据。
[0012]在一方面，确定判决还包括：计算针对相应对象的模糊哈希，以及确定所计算的哈希是否对应于已知恶意对象。
[0013]在一个方面，所述方法还包括基于对第一组信息安全事件进行分析的结果来确定第二阈值。
[0014]在一个方面，所述方法还包括基于对第一组信息安全事件进行分析的结果来修改经训练的机器学习模型的训练样本。
附图说明
[0015]并入本说明书中并构成本说明书的一部分的附图示出了本专利技术的一个或多个示例性方面，以及连同详细的描述一起用来阐述这些示例性方面的原理和实现方式。
[0016]图1a示出了示例性计算机攻击检测系统的总体框图。
[0017]图1b示出了用于处理信息安全事件的示例性系统的框图。
[0018]图2示出了示例性计算机保护系统。
[0019]图3示出了示例性定向攻击保护系统。
[0020]图4示出了在发送信息安全事件以进行分析之前处理信息安全事件的示例性方法。
[0021]图5示出了校正用于确定误报和/或信息安全事故的机器学习模型的参数的示例性方法。
[0022]图6示出了在其上可以实现本文公开的系统和方法的各变型方面的通用计算机系统的示例。
具体实施方式
[0023]本文中在用于处理信息安全事件以检测网络攻击的系统、方法和计算机程序产品的上下文中描述示例性方面。本领域的普通技术人员将认识到，以下描述仅仅是示例性的，而不旨在以任何方式进行限制。其它方面将很容易将其自身暗示给了解本专利技术的优点的本领域的技术人员。现在将详细地参考如附图中所示的示例性方面的实现方式。贯穿附图和以下描述将尽可能地使用相同的附图标记来指代相同或类似的项。
[0024]现在将介绍将在描述本专利技术的各个变型方面时使用的多个定义和概念。
[0025]术语“信息安全”(InfoSec)是指涵盖一系列问题的科学
，这些问题涉及在存在计算机威胁的情况下确保对信息基础设施中的对象进行保护。如本文所使用的，术语“信息安全”还可以指保护信息免受未经授权的查看、转换和破坏，以及指保护信息资源免受旨在影响其性能的动作的影响。
[0026]术语“InfoSec事件”是指系统或网络中任何已识别的现象。
[0027]术语“InfoSec事故”是指对信息系统的InfoSec的违反或对信息系统的InfoSec的违反的威胁。
[0028]术语“InfoSec威胁”是指构成发生InfoSec事故的危险的任何潜在的事件、动作(影响)、过程或现象。
[0029]术语“信本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于处理信息安全事件以检测计算机系统上的网络攻击的方法，所述方法包括：接收与在所述计算机系统中发生的多个信息安全事件有关的信息，其中，所述多个信息安全事件中的每一者包括与所述计算机系统的信息安全的可能违反有关的事件；确定针对接收到的所述多个信息安全事件中的每一者的判决，其中，所述判决包括：i)信息安全事故或ii)误报，并且，如果相应信息安全事件的误报概率大于第一阈值，则所述判决为误报；将针对所述多个信息安全事件的子集的判决从所述误报更改为所述信息安全事故，其中，所述子集中的信息安全事件的数量低于第二阈值；以及对判决为信息安全事故的信息安全事件进行分析，以确定所述计算机系统是否受到网络攻击。2.根据权利要求1所述的方法，其中，接收与所述多个信息安全事件有关的信息还包括接收与所述计算机系统的对象有关的一个或多个事件安全通知，并且，所述一个或多个事件安全通知包括表征在所述计算机系统中发生的事件的标记和指示收集关于所述事件的相应信息所用的时间间隔的时间戳，并且所述第一阈值与经训练的机器学习模型的质量度量有关。3.根据权利要求2所述的方法，其中，使用所述经训练的机器学习模型基于以下项中的至少一者来确定所述判决：所述一个或多个事件安全通知的特征、所述一个或多个事件安全通知的一个或多个来源、所述一个或多个事件安全通知的所述一个或多个来源的特征。4.根据权利要求1所述的方法，其中，对所述信息安全事件进行分析还包括：对具有最低误报概率的信息安全事件进行分析。5.根据权利要求1所述的方法，其中，所述判决包括以下项之一：模糊判决、暂定判决、最终判决。6.根据权利要求2所述的方法，其中，表征在所述计算机系统中发生的事件的所述标记包括以下项中的至少一者：所述对象的至少一部分的校验和、嵌入在所述计算机系统上的所述对象的资源的来源、所述对象的执行的仿真结果、从所述对象调用系统函数的日志、所述对象在所述计算机系统上的出现时间、所述对象通过计算机网络正在传输的数据。7.根据权利要求1所述的方法，其中，确定所述判决还包括：计算针对相应对象的哈希，以及确定所计算的哈希是否对应于已知恶意对象。8.根据权利要求3所述的方法，还包括基于对第一组信息安全事件进行分析的结果来确定所述第二阈值。9.根据权利要求8所述的方法，还包括基于对所述第一组信息安全事件进行分析的结果来修改所述经训练的机器学习模型的训练样本。10.一种用于处理信息安全事件以检测计算机系统上的网络攻击的系统，所述系统包括：硬件处理器，所述硬件处理器配置为：接收与在所述计算机系统中发生的多个信息安全事件有关的信息，其中，所述多个信息安全事件中的每一者包括与所述计算机系统的信息安全的可能违反有关的事件；确定针对接收到的所述多个信息安全事件中的每一者的判决，其中，所述判决包括：i)
信息安全事故或ii)误报，并且，如果相应信息安全事件的误报概率大于第一阈值，则所述判决为误报；将针对所述多个信息安全事件的子集的判决从所述误报更改为所述信息安全事故，其中，所述子集中的信息安全事件的数量低于第二阈值；以及对判决为信息安全事故的信息安全事件进行分析，以确定所述计算机系统是否受到网络攻击。1...

【专利技术属性】
技术研发人员：帕维尔，
申请(专利权)人：卡巴斯基实验室股份制公司，
类型：发明
国别省市：